Entsprechendes gilt auch in der digitalen Welt. Es ist zum Beispiel nicht hinreichend, wenn Sie ein Betriebssystem einsetzen, das eine Anmeldung mit Benutzername und Passwort ermöglicht. Es sind auch verbindliche Regeln (typisch Passwort-Policy oder Passwortrichtlinie) im Unternehmen erforderlich, die einen vernünftigen Umgang mit Passwörtern vorgeben, etwas in puncto Mindestlänge, Komplexität und Wechselhäufigkeit. Hand aufs Herz: Nutzen Sie bei allen Ihren Rechnern ein sicheres Passwort?
In der Definition lesen Sie auch erstmals die Begriffe »Verfügbarkeit, Integrität oder Vertraulichkeit« als etwas, das Sie sicherstellen müssen. Diese Begriffe, die auch Schutzziele genannt werden, müssen wir uns im weiteren Verlauf dieses Kapitels noch genauer anschauen.
Nicht nur der deutsche Gesetzgeber definiert Informationssicherheit, sondern auch der europäische. 2016 trat die Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union, kurz NIS-Richtlinie, in Kraft (siehe Kapitel 6). Auch hier finden Sie in Artikel 4 eine Definition der »Sicherheit von Netz- und Informationssystemen«.
»›Sicherheit von Netz- und Informationssystemen‹ [ist] die Fähigkeit von Netz- und Informationssystemen, auf einem bestimmten Vertrauensniveau alle Angriffe abzuwehren, die die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter oder übermittelter oder verarbeiteter Daten oder entsprechender Dienste, die über diese Netz- und Informationssysteme angeboten werden beziehungsweise zugänglich sind, beeinträchtigen; «
Art. 4 Nr. 2 NIS-Richtlinie, ABl. L 194 vom 19.7.2016, S. 1–30
Sie finden hier den zusätzlichen Begriff der »Authentizität« bei den Schutzzielen. Wenn Sie das BSI-Gesetz von Anfang bis Ende lesen, stoßen Sie auf diesen Begriff auch dort in zahlreichen Paragraphen (genauer in den Paragraphen 2, 8a, 8b und 8f). Diese Absätze wurden allerdings alle erst nachträglich in das BSI-Gesetz eingefügt. Hier sehen Sie, wie ein Begriff aus der europäischen Gesetzgebung dann bei der Anpassung der deutschen Gesetze an die europäischen Vorgaben in den deutschen Gesetzen auftaucht.
In der NIS-Richtlinie finden Sie eine Definition der Sicherheit als Fähigkeit von Systemen, Angriffe auf Daten, Dienste und Systeme abzuwehren. In dieser Definition fehlt Schutz vor Störungen durch Naturgewalten und Unfälle vollständig. Die NIS-Richtlinie regelt den Bereich der sogenannten »kritischen Infrastruktur«, also den Bereich, der bei einem Ausfall unser gesellschaftliches Leben erheblich beeinträchtigen kann. Darüber hinaus sind dort auch die digitalen Dienste, das sind Online-Suchmaschinen, Online-Marktplätze und Cloud-Computing-Dienste, geregelt. Gerade bei der kritischen Infrastruktur ist der Schutz vor den Auswirkungen von Katastrophen extrem relevant.
Was ist Cybersicherheit?
2019 trat die EU-Verordnung über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik (Rechtsakt zur Cybersicherheit) in Kraft. In dieser Verordnung finden Sie den für uns jetzt neuen Begriff »Cybersicherheit«. In der Definition taucht dann der Begriff »Cyberbedrohung« auf, der dort ebenfalls definiert ist.
»›Cybersicherheit‹ bezeichnet alle Tätigkeiten, die notwendig sind, um Netz- und Informationssysteme, die Nutzer solcher Systeme und andere von Cyberbedrohungen betroffene Personen zu schützen;
›Cyberbedrohung‹ bezeichnet einen möglichen Umstand, ein mögliches Ereignis oder eine mögliche Handlung, der/das/die Netz- und Informationssysteme, die Nutzer dieser Systeme und andere Personen schädigen, stören oder anderweitig beeinträchtigen könnte;«
Art. 2 Nr. 1 und Nr. 8 Rechtsakt zur Cybersicherheit, ABl. L 151 vom 7.6.2019, S. 15–69
In diesem Rechtsakt zur Cybersicherheit finden Sie keine vorgegebenen Schutzziele, vielmehr ist alles, was zum Schutz der Systeme und Nutzerinnen erforderlich ist, durch die Definition erfasst. Diese Definition ist sehr viel abstrakter, aber auch umfassender.
Nachdem in den deutschen Gesetzen, Normen und in der Fachliteratur über einen längeren Zeitraum der Wechsel von IT-Sicherheit zur Informationssicherheit weitgehend vollzogen wurde, kündigt sich jetzt der Begriff Cybersicherheit an und weitet den Anwendungsbereich nochmals aus.
Auch wenn es modern ist, von »Cyber« zu reden, ist Ihnen vielleicht auf den ersten Blick nicht klar, was damit gemeint ist. Cyberabwehr, Cyberkrieg, Cyberspionage, Cybercrime, Abwehr von Cyberangriffen, diese Schlagworte finden Sie zum Beispiel auch zuhauf auf den Seiten des Verteidigungsministeriums [BMVG]. Der »Cyberraum« oder auch der »Cyber- und Informationsraum« beschreibt als Sammelbegriff die gesamte digital vernetzte Welt: also das weltumspannende Internet mit all seinen Facetten – inklusive des Darknets, eines verborgenen Teils des Internets, der nur mit spezieller Software zugänglich ist. Alle Bedrohungen, die aus dem Cyberraum kommen, sind Cyberangriffe und der Schutz vor diesen Bedrohungen und die Abwehr solcher Angriffe machen die Cybersicherheit aus.
Während IT-Sicherheit sich technisch auf den Schutz der informationstechnischen Systeme fokussiert, bezieht Informationssicherheit zusätzlich den Schutz von Informationen losgelöst von der Technik mit ein. »Cyber-Sicherheit ist die IT-Sicherheit der im Cyber-Raum auf Datenebene vernetzten bzw. vernetzbaren informationstechnischen Systeme.« [BMI16]
International, insbesondere im englischsprachigen Raum und im politischen Sprachgebrauch, ist Cybersicherheit bzw. Cybersecurity der relevante Begriff. Er wird allerdings häufig synonym mit IT-Sicherheit verwendet. [CBL14]
Klassische Schutzziele der Informationssicherheit
Auf Grund der englischen Begriffe Confidentiality, Integrity und Availability wird auch gerne die Abkürzung »CIA« für diese drei grundlegenden Schutzziele gewählt.
Verfügbarkeit
Der Einstieg in die Diskussion über die Verfügbarkeit erfolgt am einfachsten durch die Frage: »Leidet Ihre Arbeit, wenn Sie vorübergehend nicht an Ihre Daten kommen?«. Wenn Sie diese Frage mit »ja« beantworten, wird es Zeit, dass Sie sich Gedanken über die Verfügbarkeit Ihrer Daten und Systeme machen. Beispiele im persönlichen Bereich gibt es viele. Einem Doktoranden wird drei Tage vor der Abgabe der Dissertation das Notebook aus dem Auto gestohlen. Die einzige Kopie des Werkes war auf der Festplatte des Notebooks. Der Rechner eines Handwerkers wird von einer Ransomware befallen, die alle Daten auf der Festplatte verschlüsselt, um ein Lösegeld zu erpressen. Der Betrieb hat auf keinerlei Kundendaten mehr Zugriff.
Ein wichtiger Aspekt, den wir bei der Verfügbarkeit gerne übersehen, ist die Aktualität der eingesetzten Software. Anbieter bringen regelmäßig neue Versionen einer Software auf den Markt und stellen dann die Pflege der alten Versionen ein. Zur Pflege der Software gehört aber auch das Beheben von Sicherheitslücken.